Cyber Social Engineering

03-06-2021

We kunnen het niet vaak genoeg zeggen, cyberbeveiliging is een belangrijk onderdeel van de IT omgeving. Kwetsbaarheid van de mens wordt helaas ook vaak gebruikt om gegevens te achterhalen door cyber criminelen. Wij doen er alles aan om dit voorkomen, maar wat kunnen je er zelf aan doen? En wat is nu eigenlijk social engineering?

Het internet is een ruimte geworden vol met kwaadaardige links en virussen. Datalekken komen steeds vaker voor en nietsvermoedende gebruikers zijn kwetsbaarder dan ooit tevoren. 

Tips om dit te voorkomen:

1. Klikken zonder na te denken is roekeloos

Alleen omdat je kunt klikken, wil nog niet zeggen dat je dat zou moeten doen. Onthoud dat het je een flink bedrag kan kosten. Schadelijke links kunnen op verschillende manieren schade aanrichten, dus zorg ervoor dat je links inspecteert en ervoor zorgt dat ze afkomstig zijn van vertrouwde afzenders voordat je klikt.

2. Gebruik tweefactorauthenticatie

Het is belangrijk om een sterk wachtwoord te hebben, maar het is nog belangrijker om tweefactorauthenticatie te hebben. Deze methode biedt twee lagen beveiligingsmaatregelen, dus als een hacker je wachtwoord nauwkeurig kan raden, is er nog steeds een aanvullende beveiligingsmaatregel om ervoor te zorgen dat uw account niet wordt geschonden.

3. Pas op voor phishing-aanvallen

Bij een phishing-aanval doet een hacker zich voor als iemand die de ontvanger misschien kent om hem te misleiden om een kwaadaardige link te openen, belangrijke inloggegevens te onthullen of software te openen die het systeem van de ontvanger infecteert met een virus. De beste manier om op phishing-aanvallen te letten, is door e-mails van onbekende afzenders te vermijden of controleren wat de bestemming is van de link in de mail die er verdacht uitziet.. 

4. Houd je digitale voetafdruk bij

Kun je alles herinneren waar je online accounts hebt en welke informatie daarop is opgeslagen, zoals creditcardnummers voor eenvoudigere betalingen? Het is belangrijk om je digitale voetafdruk bij te houden, inclusief sociale media, en om accounts die je niet gebruikt te verwijderen, terwijl je ervoor zorgt dat je sterke wachtwoorden instelt (die je ook regelmatig wijzigt).

5. Blijf op de hoogte van updates

Softwarepatches kunnen worden uitgegeven wanneer beveiligingsfouten worden ontdekt. Als je deze software-updatemeldingen vervelend vindt, ben je niet de enige. Maar je kunt ze beschouwen als het minste van twee kwaden wanneer je afweegt om je apparaat opnieuw op te starten of jezelf in gevaar te brengen voor malware en andere soorten computerinfecties.

6. Maak een veilige verbinding

Cyberbeveiligingstips hierover zijn door bijna elke technische expert onder de zon uitgedeeld, maar velen volgen dit advies nog steeds niet op. Je zou in de verleiding kunnen komen om je apparaat aan te sluiten op een onbeveiligde en/of openbare verbinding, maar als je de gevolgen overweegt, is het dit niet waard. Maak alleen, indien mogelijk, verbinding met privénetwerken, vooral bij het verwerken van gevoelige informatie.

7. Beveilig je mobiele apparaat

Beveiliging houdt niet op bij je desktop. Het is belangrijk om er een gewoonte van te maken om ook  je mobiele apparaat te beveiligen. Gebruik sterke wachtwoorden en biometrische functies, zorg ervoor dat je Bluetooth uitschakelt, maak niet automatisch verbinding met openbare wifi en download voorzichtig.

8. Zorg ervoor dat je een back-up maakt van je gegevens

Er is geen excuus om geen back-up te maken van belangrijke gegevens. Zorg er altijd voor dat er een backup is die hersteld kan worden.

9. Je bent niet immuun

De gedachte “het zal mij niet gebeuren” of “ik bezoek geen onveilige websites” hebben veel mensen. Maar cybercriminelen discrimineren niet wanneer ze zich op allerlei soorten gebruikers richten. Wees proactief, niet alle fouten kunnen ongedaan worden gemaakt met “ctrl + Z”.

10. Pas op voor social engineering

Als hackers geen beveiligingsprobleem kunnen vinden, vallen ze op andere manieren aan. Dit type aanval is meer een aanval op de geest van de gebruiker dan op het apparaat, om toegang te krijgen tot systemen en informatie. Vooral met de informatie die online en via sociale media openbaar beschikbaar is, bedenken cybercriminelen creatieve manieren om gebruikers te misleiden.

Wat is social engineering?

Bij social engineering gaan hackers niet op zoek naar technische kwetsbaarheden maar naar ‘kwetsbaarheden’ in mensen. Deze mensen proberen ze te misbruiken om bedrijfssystemen aan te vallen. Een ‘kwetsbaarheid’ in mensen is bijvoorbeeld dat we van nature behulpzaam zijn. Daar kun je als aanvaller heel makkelijk misbruik van maken. Social engineering is daarom vaak net zo effectief of nog effectiever voor het aanvallen van bedrijfssystemen.

Denk aan:

Telefoontje van de IT-beheerder

Een hacker belt met een medewerker en doet zich voor als IT-beheerder. Hij geeft aan dat er een update van het systeem komt omdat het traag is. Hij vraagt de medewerker zijn logingegevens even door te geven zodat hij na de update kan inloggen als dat bij de medewerker niet lukt.

Winactie

Een hacker stuurt een mailtje dat lijkt te komen van een mailaccount van de organisatie met een oproep voor een winactie. Om deel te nemen moeten medewerkers wel even inloggen met hun zakelijke mailadres en hun wachtwoord.

USB-stick

Medewerkers vinden losse USB-sticks bij de receptie of op de parkeerplaats van het bedrijf. Zodra zij de gevonden USB-stick koppelen aan hun laptop, wordt er malware geïnstalleerd.

Fysiek binnenkomen

Een hacker probeert het kantoorpand binnen te komen door zich te verkleden als pakketbezorger of gewoon met een aantal rokende ‘collega’s’ mee naar binnen te lopen om daarna op zoek te gaan naar de serverruimte.

Wat willen hackers stelen met social engineering?

Geld

Een mooi voorbeeld hiervan is de CEO fraude bij Pathe waarbij hackers door interne mails van de CEO na te maken 19 miljoen euro wisten los te krijgen van het bedrijf.

Toegang tot het interne netwerk (en geld)

Hackers proberen met social engineering soms toegang te krijgen tot het interne netwerk. In veel gevallen is dan het doel wachtwoorden te achterhalen om ransomware te kunnen installeren. Daarmee proberen ze vervolgens grote geldbedragen binnen te halen.

Data

Hackers gaan via social engineering soms ook op zoek naar specifieke data binnen het bedrijf, bijvoorbeeld geheime gegevens voor het ontwikkelen van een product of technologie.

Hoe social engineering te voorkomen?

Bewustzijn creëren bij medewerkers

Zorg dat je medewerkers zich ervan bewust zijn dat hackers soms social engineering gebruiken om bedrijfssystemen binnen te komen. Informeer ze over de meest voorkomende manieren om dat te doen. Medewerkers kunnen ook een security awareness training volgen om zich nog meer bewust te worden van technieken voor social engineering.

Technische maatregelen 

Technische maatregelen moeten zoveel mogelijk voorkomen dat hackers via social engineering kans van slagen hebben om een bedrijfssysteem binnen te komen. Denk bijvoorbeeld aan identificatie via vingerafdrukken of het automatisch scannen van documenten voor ze bij medewerkers in hun mailbox terecht komen.

E-mail

Je kunt jezelf beschermen tegen manipulatie door voorzichtig te zijn. Als je bijvoorbeeld de afzender van een e-mail niet kent en niet zeker weet hoe de afzender jouw e-mailadres in handen heeft gekregen, is dit een rode vlag. Neem bij twijfel telefonisch contact op met de afzender en vraag hem of haar naar het bericht dat je hebt ontvangen.

Telefoon

Hetzelfde geldt voor mensen die opbellen: als je die persoon niet kent, geef dan geen gevoelige informatie op via de telefoon.

Koppelingen

Klik niet op links die beweren dat ze naar een website login leiden, wat het bericht ook zegt. Ideaal is dat je bladwijzers hebt voor de belangrijke websites zoals bank- of winkelportalen. Gebruik je bladwijzers om de inlogpagina te openen.

"Gefeliciteerd, Je hebt gewonnen!"

Als er een prijs of grote sommen geld wordt beloofd, gebruik dan je gezond verstand. Mensen geven meestal niet zomaar geld of prijzen weg, zeker niet aan willekeurige vreemden. Reageer niet op sms'jes, e-mails of telefoongesprekken.

Beveiligingssoftware

Door spam te filteren en betrouwbare phishingbescherming te gebruiken, kun je het risico dat je slachtoffer wordt van één van deze oplichterspraktijken tot een minimum beperken. Daarbij is de beveiliging zo sterk als de zwakste schakel. 

Binnen de informatiebeveiliging wordt de mens vaak gezien als zwakste schakel. Daarom is de kans groot dat cybercriminelen zich richten op medewerkers. De beveiliging is zo sterk als de zwakste schakel. 

We doen vaak onbewust dingen waar de consequenties niet van worden ingezien. Maak je medewerkers bewust van dit gevaar.

Deel op je social!

Reacties

Er zijn nog geen reacties op deze post

Reageer op deze post

 

Copyright © 2020 - 2021​​​​​​SitemapCookieverklaringPrivacyverklaringAlgemene voorwaarden